Door ikbenik: Ik heb geen www.securitytxt.org/ ontdekt bij de primaire actor. Niet bij de logistieke actor die voor elke getroffen organisatie verantwoordelijk is voor de orderafhandeling van Europese orders. .
Toegang tot de database wordt verschaft via vaste login-informatie waarbij relevante zaken ontbreken; zoals role-based, 2FA, enz., waardoor de directe beschreven toegang tot de orderdatabase de norm is. Met als gevolgen het downloaden van Europese NAW-klant en orderdata door derden de praktijk is.
Voor mijn beeldvorming hoezo en waardoor zou deze ontdekking 'klein' zijn terwijl in de praktijk de onderstaande 7 van de OWASP top 10... en de keten bestaat een hoofdfactor die via eigen platform en platform van B2C actors in Europa aan Europese klanten verkopen. Waardoor dit de realisieit is.
Je moet je topic start met de ogen van een buitenstaander lezen.
"Door de samenhang kan ik" - klinkt alsof er een hele hoop toevalligheden samen moesten komen waardoor jij wat meer kon dan de bedoeling was.
Het was zelfs niet te zeggen of je daarvoor op een insider plaats moet zitten - ('als 1e lijns support engineer kon ik toevallig ook wijzigingen doen die voorbehouden zijn aan 3e lijns' - ook niet goed, maar lang niet zo erg als "de hele wereld kan" ).
Nu zeg dat je allerlei AVG leaks niet alleen 'mogelijk' zijn, maar "de praktijk" - oftewel, permanent gebeuren ?
En door 'iedereen', of alleen 'iedereen die een account heeft' .
Actor 1 verkoopt rechtstreeks via zijn eigen kanalen en ook via andere websites. Actor 2 verkoopt de producten van actrr 1 en verkoopt ze aan Europese klanten direct en via een winkel-in-winkel systeem.
Alle bestellingen worden verwerkt door het getroffen logistieke bedrijf, waarbij er een achterdeur voor de database open staat door de samengang.
Hoe classificeren jullie nu de actuele grootte? Waardoor en wat maakt mijn ontdekking wel relevant ?
Je kunt op de site van de AP kijken naar de boete schalen, dat geeft een inschatting.
En natuurlijk hoe makkelijk het is om te doen wat jij gevonden hebt.
De onderstaande OWASP zijn er van de top 10 er 7 van toepassing , hierdoor heb ik toegang tot de volledige klant en orderdata. Europese klant en orderdata ondanks recente datalekken....
Hoe slim//relevant/indrukwekkend is deze vondst ? Welk carrière voordeel heeft een artikel/publicatie van bovenstaande ontdekking?
Je eerste 'plicht' is om het netjes te doen - dwz, de betrokken partij(en) informeren en ruim de tijd geven om het lek te dichten, en het moet heel duidelijk zijn dat jij zelf niks fout gedaan met data waar je bij kon.
Als volledig zelfstandig persoon is dat misschien wat lastiger dan wanneer je dit 'toevallig' vindt in dienst van een werkgever in de security hoek, zeker als het betrokken bedrijf doorschiet in de reactie "boodschapper neerschieten" .
Gezien je vragen denk ik - voorzichtig aan doen. Het klinkt alsof je niet heel veel ervaring hebt.
Ik denk dat je ook de zaak 'over de muur' kunt gooien bij NCSC om partij(en) te laten informeren, en er zelf je handen vanaf trekken .
Of, als de lekke partij elders in Europa zit misschien bij dat andere nationele cert .
Afhankelijk van je carriere pad/wens kan het een plus op je CV zijn.
A01:2021-Broken Access
Control A04:2021-Insecure Design
A05:2021-Security Misconfiguration
A06:2021-Vulnerable and Outdated
Components A07:2021-Identification and Authentication
Failures A08:2021-Software and Data Integrity Failures
A09:2021-Security Logging and Monitoring Failures
Met 'benutten' , bedoel ik dat ik deze ontdekking op een ethische wijze, wil benutten zodat dit bevorderlijk is voor mijn carrière.
Welke kant wil je op met je carriere ?
Als dit richting pentesting is , is het feitelijk het werk wat je in zo'n geval doet - alleen nu zonder afspraak en toestemming. Je moet dus (veel) terughoudender zijn dan een ingehuurde pentester.
Wat je kunt bereiken is een CV item dat je iets gevonden hebt, en dat netjes hebt afgehandeld .
Als het vinden en de betrokken bugs erg bijzonder zou het je een presentatie op een conferentie kunnen opleveren.
Je kunt natuurlijk kijken naar conferenties en zijn wat er daar zoal gepresenteerd wordt , als referentie voor hoe hoog de lat ligt.
Ook al is de _impact_ groot, als de blunder van de lekke partij ook heel groot is (inlog pagina met admin/admin), dan is het 'ontdekken' ervan natuurlijk niet zo indrukwekkend, als, zeg, het bedenken van rowhammer.
Dat doe je voor je eigen zichtbaarheid (als zelfstandig onderzoeker), of die van je werkgever - laten zien wat je kunt , technisch en professioneel.